Инициатива безопасника должна быть разумной!

Дата: 23.08.2021. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Инициатива безопасника должна быть разумной!

   На прошедшей неделе история с  возбуждением уголовного дела по ст.274.1 УК РФ по действиям работника оператора связи (интернет-провайдер) за сканирование маршрутизаторов клиентов, про которое я писал еще в начале года — https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-1-kvartal-2021-goda-609d8fc0d4b3a241538eccc8, активно проявилась в СМИ. Сразу несколько заметок, опубликованных со стороны защиты: https://www.rbc.ru/rbcfreenews/611ced8c9a794716b9238d2a и https://www.rbc.ru/technology_and_media/17/08/2021/611a95059a7947e9bf954a8f?from=from_main_1

  Характерными особенностями подобных дел являются: сканирование в служебных целях (активность работника, а не гражданина) и использование общедоступных программ, свободно скачанных с Интернет.
  Вмешиваться в текущее следственное дело мы не будем, дабы не навредить интересам участников процесса и государства. А рассмотрим уже вынесенный приговор суда, в котором присутствуют выше указанные характерные моменты.
   Интересное:
   1. Работник скачал вредоносное ПО после рабочего совещания, посвященного вопросам ИБ на предприятии.
   2. Никакого вреда/ущерба пострадавшим сторонам не нанесено. Как мог быть нанесен вред деловой репутации организации, которая узнала о применении ВПО от правоохранительных органов для меня загадочно. Суд этот вопрос не интересовал, не смотря на заявление защиты. 
   3. Если гражданина обвинили в использовании вредоносного ПО, то почему не привлекаются к ответственности разработчики и распространители этого ВПО в сети Интернет? Защита прямо указывала на эти моменты.
   4. Очень наглядно показано состояние с защитой информации в организации. Даже у тех, кто подключен к ГосСОПКА.
   5. Минимум две организации подходят под субъектов КИИ (фармацевтика и связь). Обвинения по ст.274.1 УК РФ нет.
   6. Я не понял что произошло с ноутбуком. Он проходит как изъятый, но следствием не установленный. И таких моментов многовато по приговору проскакивает.
   7. Обратите внимание на постановку вопросов экспертам при отнесении программы к ВПО. Один из основных критериев — детектирование такой программы антивирусными средствами. Активатор для офисных программ вполне себе детектируется как ВПО и экспертом будет отнесен к ВПО. Суд признавал и будет признавать это в дальнейшем. https://valerykomarov.blogspot.com/2021/07/2741.html

Приговор № 1-40/2020 от 25 ноября 2020 г. по делу № 1-40/2020

г. Павловск 25 ноября 2020 г.

УСТАНОВИЛ:

Подсудимый Котляров Я.А. совершил использование компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации, при следующих обстоятельствах.

В период не позднее 08.08.2017г., точная дата следствием не установлена, у Котлярова Я.А. возник умысел, направленный на использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации, реализуя который Котляров Я.А. на неустановленном следствием Интернет-ресурсе, находясь по месту своего проживания по адресу: <адрес>, скопировал из неустановленного следствием источника на свою персональную электронно-вычислительную машину (далее ПЭВМ), подключенную провайдером ПАО «Ростелеком» к информационно-компьютерной сети Интернет (далее сеть Интернет), файлы вредоносной компьютерной программы «<данные изъяты>», предназначенной для нейтрализации средств защиты компьютерной информации.

После этого, Котляров Я.А. в период с 08.08.2017г. по 02.04.2019г., действуя умышленно и незаконно, находясь по месту своего жительства по вышеуказанному адресу, посредством запуска компьютерной программы «<данные изъяты>» на своей ПЭВМ с предоставленным провайдером ПАО «Ростелеком» динамическим IP – адресом, а также по адресу проживания его родителей: <адрес>, посредством запуска компьютерной программы «<данные изъяты>» на неустановленной в ходе следствия компьютерной технике (ноутбук), осуществил с предоставленного провайдером АО Информационная компания «Информсвязь-Черноземье» IP – адреса <№>, компьютерное воздействие на различные IP – адреса типа компьютерной атаки, которое основано на вычислении необходимого для проникновения в систему логина и пароля методом последовательного перебора логино-парольных комбинаций, для получения правильной пары логина и пароля для доступа к атакуемой системе. Согласно заключения экспертов № 5236 от 23.09.2019г., на машинных носителях информации представленного системного блока имеются файлы, содержащие сведения об использовании Котляровым Я.А. программного обеспечения «<данные изъяты>» и полученных логино-парольных комбинациях к не менее чем 51000 IP – адресов, принадлежащих различным физическим и юридическим лицам, в том числе филиалу ФГУП ВГТРК ГТРК «Дон-ТР», ООО «Мелодия Здоровья», ИП Чоботарева Ольга Владимировна, ООО «ИГиТ».

Подсудимый Котляров Я.А. вину полностью не признал и пояснил, что он проживает в <адрес>, работает <данные изъяты> В 2017г. он скачал на свой компьютер программу «<данные изъяты>» и хотел использовать ее для проверки компьютерной сети организации, в которой работает. Он запускал программу «<данные изъяты>» и она в автоматическом режиме попыталась сканировать сетевое оборудование. Программу он использовал в ознакомительных целях, то есть у него не было никакого намеренного умысла причинить вред. Никакого вреда потерпевшим он не причинил. Программа «<данные изъяты>» не является вредоносной, у программы «<данные изъяты>» есть собственный сайт в сети интернет, на ней указаны разработчики данного программного обеспечения. Сайт не заблокирован Роскомнадзором.

Из показаний представителя потерпевшего Москвенкова Д.А., данных им на предварительном следствии и оглашенных в судебном заседании (т. 2 л.д. 125-128) следует, что с 2014г. он работает в ООО «Инженерная геодезия и топография», в настоящее время занимает должность ведущего инженера сектора камеральной обработки. В его должностные обязанности входит – поддержка и эксплуатация сети постоянно действующих дифференционных базовых станций, поддержка бесперебойного доступа к ним, профилактические и ремонтные работы. Основными видами деятельности ООО «Инженерная геодезия и топография» является предоставление услуг в области инженерных изысканий. Юридический и фактический адрес ООО «Инженерная геодезия и топография» — г. Воронеж, Московский проспект, д. 53, офис 503. У ООО «Инженерная геодезия и топография» с ОАО «ЦентрТелеком» (в настоящее время ПАО «Ростелеком») заключен договор об оказании услуг электросвязи № 906014 от 20.05.2003г., согласно которому ПАО «Ростелеком» предоставляет организации услуги связи. По четырем адресам с ПАО «Ростелеком» были заключены дополнительные соглашения о предоставлении доступа в интернет, в том числе и по адресу: Воронежская область, с Нижнедевицк, ул. Братьев Серых, д. 1 и Воронежская область, г. Лиски, пр. Ленина, д. 23. По указанным адресам находится высокоточное геодезическое оборудование, которое предназначено для уточнения координат конечных потребителей и услуг корректировки местоположения. IP-адрес <№>, предоставляется по договору об оказании услуг телефонной связи № 906014 от 20.05.2003г. ООО «Инженерная геодезия и топография», по адресу – Воронежская область, с Нижнедевицк, ул. Братьев Серых, д.1, примерно с 2014г. По указанному адресу, расположено нежилое помещение, в котором находится роутер «ZXDSL 931 VII», к которому подключен блок обработки GPS-ГЛОНАСС сигнала, к указанному роутеру подключен интернет ПАО «Ростелеком» с указанным IP-адресом <№>, который является статическим. Какого-либо специализированного оборудования и защиты, позволяющей обезопасить доступ к IP-адресу <№> не установлено. Автоматизированная запись лог-файлов, позволяющая отслеживать какие-либо следы компьютерной атаки на IP-адрес <№> отсутствует. О том, что в период с 08.09.2017г. по 02.04.2019г. была осуществлена атака на IP-адрес <№> ООО «Инженерная геодезия и топография», по адресу: Воронежская область, с Нижнедевицк, ул. Братьев Серых, д. 1 ему стало известно от сотрудников полиции 13.11.2019г. О данном несанкционированном доступе к IP-адресу <№> ему ничего не известно.IP-адрес <№> предоставляется по договору об оказании услуг телефонной связи № 906014 от 20.05.2003г., ООО «Инженерная геодезия и топография», по адресу: Воронежская область, г. Лиски, пр. Ленина, д. 23, примерно с 2014г. По указанному адресу, также расположено нежилое помещение, в котором находится роутер «ZXDSL 931 VII», к которому подключен блок обработки GPS-ГЛОНАСС сигнала. К указанному роутеру подключен интернет ПАО «Ростелеком» с указанным IP-адресом <№>, который является статическим. Какого-либо специализированного оборудования и защиты, позволяющей обезопасить доступ к IP-адресу <№> не установлено. Автоматизированная запись лог-файлов, позволяющая отслеживать какие-либо следы компьютерной атаки на IP-адрес <№> отсутствует. О том, что в период с 08.09.2017г. по 02.04.2019г. была осуществлена атака на IP-адрес <№> ООО «Инженерная геодезия и топография», по адресу: Воронежская область, г. Лиски, пр. Ленина, д. 23 ему стало известно от сотрудников полиции 13.11.2019г. О данном несанкционированном доступе к IP-адресу <№> ему ничего не известно. Логин и пароль для доступа к роутеру, расположенному по адресу: Воронежская область, с Нижнедевицк, ул. Братьев Серых, д. 1: логин — <данные изъяты>, пароль – <данные изъяты>. Примерно год назад, до смены пароля, пароль был «<данные изъяты>». Какой логин и пароль для доступа к роутеру, расположенному по адресу: Воронежская область, г. Лиски, пр. Ленина, д. 23 ему точно не известно, но скорее всего: логин – <данные изъяты>, пароль – <данные изъяты> ООО «Инженерная геодезия и топография» несанкционированным доступом к IP-адресу <№> и IP-адресу <№> принадлежащим ООО «Инженерная геодезия и топография», предоставляемым по адресам: Воронежская область, г. Лиски, пр. Ленина, д. 23 и Воронежская область, с. Нижнедевицк, ул. Братьев Серых, д. 1, материальный ущерб причинен не был, был причинен вред деловой репутации.

Из показаний представителя потерпевшего Останкова И.В., данных им на предварительном следствии и оглашенных в судебном заседании (т. 2 л.д. 76-79), следует, что он работает в ООО «Мелодия Здоровья 1» с сентября 2014г. специалистом по информационным технологиям. В его должностные обязанности входит поддержка и обслуживание компьютерного оборудования, настройка интернета, замена вышедшего из строя компьютерного оборудования. Основными видами деятельности ООО «Мелодия Здоровья 1» является продажа лекарственных препаратов и медикаментов. Юридический и фактический адрес ООО «Мелодия Здоровья 1» — г. Воронеж, ул. Новосибирская, д. 34. По адресу г. Воронеж, ул. Куцыгина, д. 17, оф. 407, расположен офис ООО «Мелодия Здоровья», где он и работает. ООО «Мелодия Здоровья 1» и ООО «Мелодия Здоровья» являются одной организацией, отличие только в расположении офисов. У ООО «Мелодия Здоровья 1» с ПАО «Ростелеком» заключен договор об оказании услуг телефонной связи № 151100026090 от 23.01.2012г., согласно которому ПАО «Ростелеком» предоставляет их организации услуги связи по пяти адресам филиалов ООО «Мелодия Здоровья 1», в том числе и по адресу: г. Воронеж, ул. Новгородская, д. 126 (IP-адрес <№>), где расположен аптечный пункт. В данном аптечном пункте находится маршрутизатор DSL-2640U, к которому подключен интернет ПАО «Ростелеком» с указанным IP-адресом <№>. К данному маршрутизатору для предоставления доступа в Интернет подключена вся компьютерная техника, находящаяся в данном аптечном пункте. Какого-либо оборудования и защиты, позволяющей обезопасить доступ к IP-адресу <№> до лета 2019г. установлено не было.Автоматизированная запись лог-файлов, позволяющая зафиксировать какие-либо следы компьютерной атаки на IP-адрес <№> отсутствует. О том, что в период времени с 08.08.2017г. по 02.04.2019г. была осуществлена атака на IP-адрес <№>, предоставленный аптечному пункту ООО «Мелодия Здоровья 1» по адресу: г. Воронеж, ул. Новгородская, д. 126 ему стало известно от сотрудников полиции 13.11.2019г. О данном несанкционированном доступе к IP-адресу <№> ему ничего не известно. Также указал логин и пароль для доступа к маршрутизатору на момент допроса: логин – <данные изъяты> пароль — <данные изъяты>. Ранее пароль мог быть другим и он мог быть заменен в ходе установки маршрутизатора. Какой пароль был ранее, он сказать не может, так как не помнит. ООО «Мелодия Здоровья 1» указанными действиями, а именно несанкционированным доступом к IP-адресу <№>, принадлежащему аптечному пункту ООО «Мелодия Здоровья 1» материальный ущерб причинен не был, был причинен вред деловой репутации.

Из показаний представителя потерпевшего Павловой Т.Ю., данных ею на предварительном следствии оглашенных в судебном заседании (т. 2 л.д. 20-22), следует, что она работает в Филиале ФГУП ВГТРК ГТРК «Дон-ТР» в должности юрисконсульта. В ее должностные обязанности входит правовое сопровождение деятельности Филиала ФГУП ВГТРК ГТРК «Дон-ТР». Основными видами деятельности Филиала ФГУП ВГТРК ГТРК «Дон-ТР» является телерадиовещание.Юридический и фактический адрес филиала ФГУП ВГТРК ГТРК «Дон-ТР» — г. Ростов-на-Дону, ул. Баррикадная, д. 18. Вопросы обеспечения информационной безопасности в ее компетенцию не входят, в связи с чем дать пояснения по вопросам настройки систем, установленных на серверах Филиала ФГУП ВГТРК ГТРК «Дон-ТР» она не может. Ответственным за информационную безопасность в филиале ФГУП ВГТРК ГТРК «Дон-ТР» является начальник отдела информационных технологий Свидетель №9, который может пояснить о настройках системы установленной на сервере. О фактах наличия следов компьютерной атаки на сервер филиала ФГУП ВГТРК ГТРК «Дон-ТР» так же может пояснить Свидетель №9

Из показаний представителя потерпевшего Чоботаревой О.В., данных на предварительном следствии и оглашенных в судебном заседании (т. 2 л.д. 185-189), следует, что с ноября 2019г. она работает в ООО «Продтогр» в должности специалиста по логистике. Ранее в декабре 2017г. она зарегистрировала ИП Чоботарева Ольга Владимировна ИНН366109602988, (юридический адрес – г. Воронеж, ул. Диспетчерская, д. 38, фактический – г. Воронеж, ул. Землячки, д. 21, по данному адресу расположен склад и офис). Основными видами деятельности ИП Чоботарева О.В. было оказание складских услуг. В ее должностные обязанности входило управление складской транспортной логистикой. На момент допроса ИП находится на стадии ликвидации. У ИП с АО «Квант-Телеком» примерно в январе-феврале 2018г.был заключен договор об оказании интернет услуг. Номер договора назвать не может, так как данный договор не сохранился. Ей известно, что по данному договору офису ИП, расположенному по адресу: г. Воронеж, ул. Землячки, д. 21 предоставлялся IP-адрес <№> В данном офисе находился маршрутизатор, название которого ей не известно, к которому был подключен интернет кабель с предоставленным IP-адресом <№> и компьютерная техника, а именно 3 компьютера, а также уличная видеокамера для обеспечения безопасности офисного помещения. Какого-либо дополнительного оборудования и защиты, позволяющей обезопасить доступ к IP-адресу <№> через интернет от внешних воздействий установлено не было. Единственной защитой являлись логин и пароль, позволяющие получить доступ к внутреннему интерфейсу. Логин и пароль она не помнит. Автоматизированная запись лог-файлов, позволяющая зафиксировать какие-либо следы компьютерной атаки на IP-адрес <№> отсутствовала. О том, что в период с 08.09.2017г. по 02.04.2019г. была осуществлена атака на IP-адрес <№>, ей стало известно от сотрудников полиции. О данном несанкционированном доступе ей ничего не известно. ИП Чоботарева Ольга Владимировна указанными действиями материальный ущерб причинен не был, был причинен вред деловой репутации.

Из показаний свидетеля Свидетель №9, данных им на предварительном следствии и оглашенных в судебном заседании (т. 2 л.д. 63-65) следует, что он работает в Филиале ФГУП ФГТРК ГТРК «Дон-ТР» в должности начальника отдела информационных технологий. В его обязанности входит: общее руководство отделом информационных технологий, организация мероприятий по обеспечению информационной безопасности и защите персональных данных, поддержка работоспособности информационных систем. В 2018г. филиал ФГУП ФГТРК ГТРК «Дон-ТР» был подключен к сегменту ГосСОПКА. Основными видами деятельности Филиала ФГУП ФГТРК ГТРК «Дон-ТР» является телерадиовещание. Юридический и фактический адрес Филиала ФГУП ФГТРК ГТРК «Дон-ТР» – г. Ростов-на-Дону, ул. Баррикадная, д. 18. Настройка системы установленной на сервере филиала ФГУП ФГТРК ГТРК «Дон-ТР», предусматривает автоматическую перезапись файлов-логов, которые хранятся в течение семи дней, после чего они автоматически перезаписываются. В связи с этим, зафиксировать следы компьютерной атаки, проведенной 06.01.2019г. с IP-адреса <№> на информационные ресурсы филиала ФГУП ФГТРК ГТРК «Дон-ТР» не представляется возможным, ввиду отсутствия соответствующих файлов-логов. В филиале ФГУП ФГТРК ГТРК «Дон-ТР» ведущим инженером отдела информационных технологий проводится анализ сохраненных файлов-логов авторизации, которые хранятся на сервере филиала ФГУП ФГТРК ГТРК «Дон-ТР» в течение 4 месяцев, фактов несанкционированного доступа к серверу Филиала ФГУП ФГТРК ГТРК «Дон-ТР» установлено не было.

Из показаний свидетеля Свидетель №1, данных им на предварительном следствии и оглашенных в судебном заседании (т. 1 л.д. 202-204), следует, что 02.04.2019г. они вместе с <ФИО>9 были приглашены сотрудниками УФСБ России по Воронежской области в качестве представителей общественности при проведении ОРМ – обследование помещений, зданий, сооружений, участков местности и транспортных средств. Они проследовали по адресу: <адрес>. В квартире находился Котляров Я.А. Сотрудник УФСБ России по Воронежской области огласил Котлярову Я.А. постановление о проведении оперативно-розыскных мероприятий и предложил добровольно выдать предметы и документы, которые были указаны в постановлении – электронные носителя информации, содержащие следы компьютерной атаки на информационные ресурсы, на что Котляров Я.А. согласился. Перед началом обследования всем участникам оперативно-розыскного мероприятия были разъяснены права и обязанности. При обследовании помещения были обнаружены и изъяты системный блок черного цвета и ноутбук, их наименования он не помнит. В их присутствии изъятая компьютерная техника была опечатана бирками, на которых поставили подписи все участвующие лица. По результатам обследования был составлен протокол. Во время проведения обследования и по окончании от Котлярова Я.А. замечаний не поступило. Котляров Я.А. пояснил, что на его компьютерной технике находится программное обеспечение «<данные изъяты>».

Свидетель Свидетель №2 показала, что Котляров Я.А. ее супруг, они проживают по адресу: <адрес>. Интернет зарегистрирован на нее с 2014г. Дома у них в пользовании был компьютер, ноутбук, личные мобильные телефоны у ребенка, у супруга и у нее. Какие программы были установлены на компьютере она внимания не обращала. О том, что ее супруг Котляров Я.А. использовал вредоносное программное обеспечение она узнала от сотрудников ФСБ в апреле 2019г.

Свидетель Свидетель №3 показал, что он приходится Котлярову Я.А. отчимом. Он с супругой проживает в <адрес>. С 2018г. у них подключен интернет, он оформлен на Котлярова Я.А. У них в пользовании был ноутбук, который им отдал Котляров Я.А. Иногда Котляров Я.А. сам пользовался данным ноутбуком, какие программы при этом использовал, он не знает.

Свидетель Свидетель №4 показала, что Котляров Я.А. ее сын. Они с мужем проживают в <адрес>. У них в пользовании есть ноутбук Acer Aspire 534 9, есть подключение к интернету и Wi-Fi. Какие программы сын устанавливал на ноутбуке ей не известно.

Свидетель Свидетель №5 показал, что Котляров Я.А. его сын. Он проживает в <адрес>. У него есть компьютер, который подключен к интернету. О использовании сыном вредоносных компьютерных программ ему ничего не известно.

Из показаний свидетеля Свидетель №6, данных им на предварительном следствии и оглашенных в судебном заседании (т. 1 л.д. 243-248) следует, что с 12.10.2015г. он работает в АО «Павловск-Неруд» в должности директора по безопасности. В его должностные обязанности входит осуществление экономической и внутренней безопасности и режим. Котляров Я.А. находится в его подчинении. В должностные обязанности Котлярова Я.А., как специалиста экономической защиты внутреннего контроля, входит видео мониторинг и мониторинг транспортных средств. Зимой, в начале 2016г., точную дату он не помнит, на оперативном совещании он проинформировал подчиненных сотрудников о том, что у предприятия отсутствует какая-либо информационная защита. На данную информацию сотрудники не отреагировали и данный вопрос не поднимался до середины 2018г. В указанное время у компании сменился офис продаж, в котором отсутствовала какая-либо защищенность, не было систем видеонаблюдения и сигнализации, имелся свободный доступ во все кабинеты, в том числе и серверную. Данный офис располагается по адресу: г. Воронеж, ул. Бакунина, д. 45. Обнаруженные им недостатки в системе безопасности были сообщены сотрудникам, в том числе и Котлярову Я.А. При этом он заострил внимание, что к серверу компании имеется свободный доступ, в связи с чем к нему можно подключить любой носитель информации и загрузить все сведения. Котляров Я.А. пояснил, что физический доступ к серверу получать нет необходимости, так как возможно получить удаленный доступ к серверу и скачать или иметь доступ к информации. Он ответил, что физический контакт с сервером дает возможность получать информацию без выявления незаконного проникновения, в то время как доступ через сеть, как правило, выявляется всегда. Через некоторое время Котляров Я.А. сказал, что нашел программу, которую можно применить для попытки проникновения к серверу компании. На что он ответил Котлярову Я.А., что делать этого нельзя, чтобы Котляров Я.А. не пытался получить удаленный доступ к серверу их компании. После этого разговора он поинтересовался у директора по IТ-технологиям АО «Павловск-Неруд» о том, имеется ли у них защита от неправомерного доступа к данным, хранящимся на серверах компании, на что получил ответ о наличии системы защиты от неправомерного доступа. Об этом он сообщил подчиненным сотрудникам, в том числе и Котлярову Я.А. Об использовании вредоносной компьютерной программы, предназначенной для нейтрализации средств защиты компьютерной информации Котляров Я.А. сообщил ему по телефону, когда сообщил о причине своего задержания. Затем Котляров Я.А. рассказал, что у него на компьютере найдена программа, про которую он ранее говорил в разговоре об удаленном доступе к серверу компании.

Из показаний свидетеля Свидетель №7, данным им на предварительном следствии и оглашенных в судебном заседании (т. 1 л.д. 249-252) следует, что примерно в 2015г. он оформил сим-карту на свое имя с абонентским номером <№> и передал ее своему сыну Свидетель №8. Сам он данным абонентским номером никогда не пользовался, как использовал его сын данную сим-карту ему не известно. В социальной сети «В контакте» он не зарегистрирован, зарегистрирован ли сын он не знает. С Котляровым Я.А. он не знаком, знаком ли с ним его сын он не знает. О том, использовал ли его сын Свидетель №8 вредоносное программное обеспечение ему не известно. В настоящее время сын проходит срочную военную службу.

Допрошенный в судебном заседании эксперт Экспертно-криминалистического центра ГУ МВД России по Воронежской области <ФИО>3 показал, что по данному делу он проводил компьютерную экспертизу. Для экспертизы был предоставлен системный блок, было несколько вопросов, его были вопросы 1, 2, 4, 7. Он проводил исследование. Первый вопрос – имеется ли электронное программное обеспечение с определенным наименованием? Второй вопрос – детектируется ли антивирусными программными обеспечениями с определенным наименованием? Четвертый вопрос – имеются следы использования данного программного обеспечения? Седьмой вопрос – имеется ли следы выхода в сеть интернет, или использовались какие-либо учетные данные пользователя компьютера? Он на эти вопросы ответил. На первый вопрос – программное обеспечение было обнаружено. На второй вопрос – программа «<данные изъяты>» антивирусным программным обеспечением не детектировалось, как вредоносная. На четвертый вопрос – следы работы предположительно, поскольку программное обеспечение создано не им, а сторонними лицами, он предположил, что файлы с определенным расширением log и txt и еще какой-то файл, являются следами работы именно этого программного обеспечения, именующегося, как «<данные изъяты>». Эти сведения были записаны на оптический диск. По седьмому вопросу – при помощи специализированного программного обеспечения «<данные изъяты>» был осуществлен поиск следов авторизации, и были обнаружены такие данные, соответственно были записаны на оптический диск. Данное экспертное заключение он поддерживает.

Допрошенный в судебном заседании эксперт <ФИО>2 показал, что он занимался технической стороной экспертизы, отвечал на вопросы касаемо предназначения программного обеспечения, которое было обнаружено. На момент проведения экспертизы он работал доцентом Воронежского государственного технического университета. Для проведения экспертизы ему было предоставлено программное обеспечение «<данные изъяты>». В ЭКЦ ему предоставили отдельный компьютер, программное обеспечение, которое скопировано было на компьютер, виртуальную машину, и предоставили возможность его запустить и посмотреть, что это за программное обеспечение. С точки зрения определения вредоносного программного обеспечения — вредоносным считается программное обеспечение, с помощью которого можно осуществлять несанкционированный доступ к компьютерной информации. С помощью данного программного обеспечения «<данные изъяты>» несанкционированный доступ к компьютерной информации можно осуществлять, так как она предназначена для подбора паролей к компьютерным системам, то есть фактически в обход защиты существующей для этих компьютерных систем. Поэтому это программное обеспечение можно считать вредоносным.Сделанное им экспертное заключение он поддерживает.

Допрошенный в судебном заседании эксперт ООО Экспертное учреждение «Воронежский центр экспертизы» <ФИО>1 показал, что заключение было произведено на основании постановления о назначении компьютерно-технической экспертизы. На исследование был представлен носитель с файлом <№>, который представляет собой выдержку из съемки сетевого трафика. Данный файл был исследован при помощи программного обеспечения, которое предназначено для сбора и анализа подобных файлов. В ходе анализа было установлено, что файл содержит в себе последовательный запрос к IP-адресу, который в вопросах фигурировал – это <№>, и последовательность пакетов, которые зафиксированы в этом файле — она соответствует перебору паролей. По результатам исследования были даны выводы, что файлы, представленные на исследование, являются файлами, содержащими в себе сведения о интернет-трафике. Сведения, содержащиеся в данном файле, свидетельствуют о деструктивном воздействии на адрес назначения, то есть о переборе паролей. В интернет-трафике содержится информация об источнике воздействия, то есть IP-адрес <№> и т.д. и адресе назначения деструктивного воздействия, то есть это IP-адрес <№> и т.д., а так же дан вероятностный вывод о том, что данный трафик генерирован при помощи программного обеспечения «<данные изъяты>». Заключение от 17.09.2019г. он поддерживает в полном объеме.

Кроме того, вина Котлярова Я.А. в использовании компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации, подтверждается исследованными судом материалами уголовного дела, а именно:

— протоколом обыска от 17.07.2019г. по адресу: <адрес>, в ходе которого были изъяты: НЖМД «WD» s/n <№>, НЖМД «Toshiba» s/n:<№>, НЖМД «Toshiba» s/n <№>, НЖМД без указания фирмы производителя s/n <№> переносной НЖМД «Blueendless» в корпусе черного цвета, НЖМД «Seagate» s/n <№>, флеш-накопитель «Cruzer Gliac 3.0», флеш-накопитель «Silicon Power», флеш-накопитель «San Disk», USB-модем «Балийн» IМЕI: <№> с сим-картой «Билайн» <№> роутер «ZyXEL» s/n <№>, ноутбук «Toshiba» s/n: <№>, телефонный аппарат Xiaomi <данные изъяты> в корпусе черного цвета IМЕI <№> (т. 1 л.д. 166-170);

-протоколом обыска от 17.07.2019г. по адресу: <адрес>, а также в надворных постройках на территории данного домовладения, в ходе которого были изъяты: флеш-накопитель марки «НР» объемом 4GВ v245о в корпусе серо-оранжевого цвета, системный блок с комплектующим с надписью «ColorSit» в корпусе черно-серого цвета, моноблок черного цвета с надписью «Qоо!» комплекте с монитором «LG Flatron L151ОS», жесткий диск «Western Digital» S/N: <№>, жесткий диск «Seagate» S/N: <№> жесткий диск «Seagate» Barracuda S/N: <№>, жесткий диск «Seagate» Barracuda 7200.12 S/N: <№>, жесткий диск «Seagate» S/N: <№>, жесткий диск «Hitachi» S/N: <№>, жесткий диск «Seagate» S/N: <№> жесткий диск «Seagate» S/N: <№>, жесткий диск «Western Digital» S/N: <№>, жесткий диск «Samsung» S/N: <№>, жесткий диск FS 7ТJDFА5SМА0Н1, жесткий диск S/N: <№>, жесткий диск «Toshiba» S/N: <№> (т. 1 л.д. 182-187);

— протоколом обыска от 17.07.2019г. по адресу: <адрес>, а также в надворных постройках на территории данного домовладения, в ходе которого предметов, документов, ценностей, имеющих значение для дела не обнаружено и не изъято (т. 1 л.д. 193-197);

— протоколом осмотра места происшествия от 17.07.2019г., а именно: нежилого помещения, расположенного на цокольном этаже (в подвале) жилого дома по адресу <адрес>, находящегося в пользовании Котлярова Я.А., в ходе которого были изъяты НЖМД «Western Digital» s/n: <№> и НЖМД «Seagate» s/n: <№> (т. 1 л.д. 175-180);

— протоколом осмотра предметов с приложением в виде иллюстрационной таблицы, согласно которого осмотрен оптический диск DVD-R белого цвета с маркировкой вокруг посадочного отверстия, читаемого как «112304012312», в ходе которого установлено, что на оптическом диске содержится файл с наименованием <данные изъяты> (т. 3 л.д. 32-37);

— протоколом осмотра предметов от 21.10.2019г. с фототаблицами, согласно которого осмотрены: жесткий диск в корпусе черно-серебристого цвета «WD» s/n <№>, жесткий диск в корпусе черно-серебристого цвета «Toshiba» s/n: <№>, жесткий диск в корпусе черно-серебристого цвета s/n <№>, жесткий диск в корпусе черно-серебристого цвета «Seagate» s/n <№>, жесткий диск в корпусе черно-серебристого цвета «Toshiba» s/n <№>, жесткий диск в корпусе черного цвета «Blueendless», в ходе которого установлены внешние признаки осматриваемых предметов (т. 3 л.д. 167-173);

— протоколом осмотра предметов от 17.10.2019г. с фототаблицами, согласно которого осмотрены: USB-модем «Билайн» s/<№>, а также Wi-Fi роутер «ZyXEL» с.н. <№>, в ходе которого установлены внешние признаки осматриваемых предметов (т. 4 л.д. 85-88);

— протоколом осмотра предметов от 07.10.2019г. с фототаблицами, согласно которого осмотрены: системный блок «АеrоСооl», а также изъяты из системного блока жесткий диск в корпусе черно-серебристого цвета <№>, жесткий диск в корпусе черно-серебристого цвета <№>, жесткий диск в корпусе черно-серебристого цвета <№>, жесткий диск в корпусе черно-серебристого цвета <№>, жесткий диск в корпусе серебристого цвета <№> в ходе которого установлены внешние признаки осматриваемых предметов (т. 4 л.д. 59-64);

— протоколом осмотра предметов от 05.10.2019г. с фототаблицами, согласно которому осмотрен оптический диск СD-R «Verbatim» белого цвета с маркировкой вокруг посадочного отверстия, читаемого как «7152140МD23190». В ходе осмотра установлено, что на оптическом диске представлены файлы, содержащие в себе сведения о переписке пользователя Котлярова Я.А. https://<данные изъяты> / https:// <данные изъяты> с несколькими лицами, в том числе с пользователем Свидетель №8 (https://<данные изъяты>). При осмотре указанной переписки установлено совпадение по словосочетанию «<данные изъяты>». Указанное совпадение обнаружено в сообщении пользователя Котлярова Я.А. пользователю Свидетель №8 (https://<данные изъяты>) (т. 4 л.д. 93-107);

— протоколом осмотра предметов от 23.10.2019г. с фототаблицами, согласно которому осмотрено приложение к заключению эксперта № 5236 от 23.09.2019г. – оптический диск DVD-R «intro» <№>. В ходе осмотра содержимого установлено, что на оптическом диске имеются файлы, содержащие в себе информацию о более чем 51000 IP-адресов, а также о парах логинпаролей для доступа к указанным IP-адресам (т. 4 л.д. 30-55);

— протоколом осмотра и прослушивания фонограммы от 03.12.2019г., согласно которому совместно с обвиняемым Котляровым Я.А. и его защитником, произведен осмотр и прослушивание результатов ОРД, предоставленных постановлением о предоставлении результатов оперативно-розыскной деятельности органу дознания, следователю или в суд от 03.06.2019г. – ОРМ «прослушивание телефонных переговоров». В ходе осмотра и прослушивания фонограмм, обвиняемый Котляров Я.А. пояснил, что на аудиозаписях его голос (т. 2 л.д. 257-266);

протоколом обследования помещений, зданий, сооружений, участков местности и транспортных средств от 02.04.2019г., согласно которому в ходе обследования жилого дома и придомового участка, находящегося по адресу: <адрес>, изъят ноутбук Acer Aspire 5349 series SNID: <№> (т. 1 л.д. 61-66);

— протоколом обследования помещений, зданий, сооружений, участков местности и транспортных средств от 02.04.2019г., согласно которому в ходе обследования квартиры, находящейся по адресу: <адрес>, изъяты системный блок ПЭВМ в составе 5 жестких дисков, процессора, видеокарты, оперативной памяти и ноутбук HP ProBook, без с/н, темного цвета (т. 1 л.д. 147-152);

— копией дополнительного соглашения от 03.09.2013г. к Договору об оказании услуг телефонной связи № 151100026090 от 23.01.2019г. между ОАО «Ростелеком» и ООО «Мелодия здоровья 1», согласно которого оператор связи обязуется за плату обеспечить оказание абоненту услуг по предоставлению доступа к сети передачи данных оператора связи и по предоставлению доступа к информационным системам информационно-телекоммуникационных сетей, в том числе к сети Интернет, приема и передачи тематических электронных сообщений (т. 2 л.д. 83-88);

— копией акта приема-передачи оборудования (во временное пользование) от 03.09.2013г., согласно которому ОАО «Ростелеком» с одной стороны передало, а ООО «Мелодия Здоровья 1» с другой стороны приняло оборудование Model Nо:<данные изъяты> (т. 2 л.д.92);

— копией дополнительного соглашения к Договору об оказании услуг телефонной связи от 2014г., между ОАО «Ростелеком» и ООО «Инженерная геология и топография», согласно которому оператор связи обязуется за плату обеспечивать оказание абоненту услуг по предоставлению доступа к сети передачи данных оператора связи и по предоставлению доступа к информационным системам информационно-телекоммуникационных сетей, в том числе к сети Интернет, приема и передачи тематических электронных сообщений (т. 2 л.д. 131-134);

— копией договора № 906014 от оказании услуг электросвязи от 20.05.2003г., согласно которому ОАО «ЦентрТелеком» и ООО «Инженерная геодезия и топография», заключили договор о предоставлении услуг телефонной связи (т. 2 л.д. 137-140);

— копией дополнительного соглашения «Интернет» № 2 от 21.05.2003г. к договору об оказании услуг электросвязи № 906014 от 20.05.2003г., согласно которому ОАОЛ «ЦентрТелеком» и ООО «Инженерная геодезия и топография» заключили соглашение о предоставлении оператором связи (ОАО «ЦентрТелеком») абоненту за плату дополнительные услуги связи – услуги сети Интернет (т. 2 л.д. 146-147);

заключением эксперта № 549/19 от 17.09.2019г., согласно которого на оптическом диске, представленном на экспертизу, содержится файл <№>, содержащий в себе сведения об интернет трафике, который свидетельствует о деструктивном воздействии с IP-адреса <№> на адрес назначения IP-адрес <№> с использованием вредоносного программного обеспечения. При этом осуществление данного деструктивного воздействия производилось с высокой долей вероятности с использованием программы «<данные изъяты>» (т. 3 л.д. 23-26);

заключением эксперта № 5135 от 17.09.2019г., согласно которого на жестком диске «WD» s/n <№> имеется каталог «<данные изъяты>», в котором имеется исполняемый файл, именующий себя «<данные изъяты>». Дата создания каталога 6.12.2017г., в 15 часов 21 минуту. На жестком диске «Toshiba» s/<№>, имеются сведения об Интернет-ресурсах на которых производилась авторизация или попытка авторизации. Согласно выводам эксперта, «<данные изъяты>» — это программа для поиска в сети интернет веб-интерфейсов сетевого оборудования, с целью дальнейшего получения несанкционированного доступа к нему. Несанкционированный доступ достигается путем нейтрализации средств защиты веб-интерфейса сетевого оборудования с помощью подбора пары логин/пароль либо эксплуатации программных уязвимостей указанного оборудования. Программа «<данные изъяты>» предоставляет возможность пользователю нейтрализовать средства защиты компьютерной информации, то есть является вредоносной компьютерной программой. Иного предназначения данное программное обеспечение не имеет (т. 3 л.д. 161-164);

заключением эксперта № 5236 от 23.09.2019г. согласно которого, на представленных жестком диске «Plextor» s/n: <№> и жестком диске «Seagate» s/n: <№> имеется программный продукт, именующий себя «<данные изъяты>». Один из файлов «<данные изъяты>», расположенный в каталогах <данные изъяты>» и <данные изъяты>» детектируется антивирусным программным обеспечением как «<данные изъяты>». Программа «<данные изъяты>» запускаться в скрытом от пользователя режиме на его компьютере не может (т. 4 л.д. 23-27).

Компьютерные экспертизы проведены в соответствии с требованиями ст. ст. 195-199 УПК РФ, экспертам разъяснены их права и обязанности, предусмотренные ст. 57 УПК РФ, они предупреждались об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ, заключения экспертов соответствуют требованиям ст. 204 УПК РФ, мотивированы и обоснованы, ответы на поставленные вопросы были даны в полном объеме с учетом полномочий и компетенции экспертов, обладающих специальными знаниями и назначенными в порядке, предусмотренном УПК РФ, квалификация экспертов у суда сомнения не вызывает. Достаточных оснований для того, чтобы подвергать сомнению выводы проведенных экспертиз, в суд представлено не было. Основания и мотивы, по которым были сделаны соответствующие выводы, изложены в исследовательской и заключительной частях экспертиз, которые оцениваются судом в совокупности с другими исследованными доказательствами по данному делу. Оснований полагать, что эксперты, проводившие их, лично, прямо или косвенно заинтересованы в исходе данного дела у суда не имеется. Свои заключения эксперты подтвердили в судебном заседании.

Суд считает, что приведенными доказательствами вина Котлярова Я.А. полностью установлена и доказана.

Действия Котлярова Я.А. суд квалифицирует по ч. 1 ст. 273 УК РФ, так как он совершил использование программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации.

Котляров Я.А. обладает знаниями в области информационных технологий и использования компьютерной техники, поскольку имеет высшее образование по специальности информационные системы и технологии и стаж работы по специальности.

Доводы защиты о том, что действиями Котлярова Я.А. потерпевшим не причинено никакого вреда, суд находит не состоятельными, поскольку состав, предусмотренный ч. 1 ст. 273 УК РФ является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате использования компьютерных программ, заведомо предназначенных для нейтрализации средств защиты компьютерной информации, независимо от того, наступили ли в результате этого какие-либо общественно опасные последствия.

При назначении подсудимому Котлярову Я.А. наказания, суд учитывает характер и степень общественной опасности совершенных преступлений, данные о личности подсудимого, обстоятельства, смягчающие и отягчающие наказание, а также влияние наказания на исправление осужденного и на условия жизни его семьи.

Котляров Я.А. совершил умышленное преступление средней тяжести.

Данные о личности: Котляров Я.А. ранее не судим, характеризуется положительно, имеет постоянное место работы.

Обстоятельствами, смягчающими наказание Котлярова Я.А. суд признает – привлечение к уголовной ответственности впервые, положительная характеристика, наличие малолетнего ребенка.

Обстоятельств, отягчающих наказание подсудимого, предусмотренных ст.63 УК РФ судом не установлено.

С учетом фактических обстоятельств совершенного преступления, и степени его общественной опасности, суд не находит оснований для изменения категории преступлений в порядке ч. 6 ст. 15 УК РФ на менее тяжкую, поскольку по делу не установлено таких особенностей, которые бы существенным образом снижали общественную опасность преступлений.

При назначении наказания Котлярову Я.А., суд не находит оснований для применения ст. 64 УК РФ.

Учитывая изложенное, данные о личности подсудимого, характеризующие его с положительной стороны, степень общественной опасности совершенного подсудимым преступления, наличие смягчающих обстоятельств и отсутствие отягчающих наказание обстоятельств, суд считает возможным назначить подсудимому наказание, в виде ограничения свободы.

Суд считает, что назначение такого вида наказания подсудимому является оправданным и гуманным, соответствует требованиям ст. 43 УК РФ о применении уголовного наказания в целях восстановления социальной справедливости, а также в целях исправления осужденного и предупреждения совершения им новых преступлений. 

На основании изложенного и руководствуясь ст. ст. 307-309, 316 УПК РФ, суд

ПРИГОВОРИЛ:

Признать Котлярова Якова Александровича виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, и назначить ему наказание – один год ограничения свободы.

В силу ст. 53 УК РФ установить Котлярову Я.А. следующие ограничения: не выезжать за пределы территории Павловского района Воронежской области, не изменять место жительства или пребывания без согласия специализированного государственного органа, осуществляющего надзор за отбыванием осужденными наказания в виде ограничения свободы.

Обязать Котлярова Я.А. являться в специализированный государственный орган, осуществляющий надзор за отбыванием осужденными наказания в виде ограничения свободы, по месту жительства один раз в месяц для регистрации.

Меру пресечения Котлярову Я.А. оставить без изменения – подписка о невыезде и надлежащем поведении.

Вещественные доказательства: оптический диск DVD- R белого цвета с маркировкой вокруг посадочного отверстия, читаемого как «112304012312», оптический диск DVD- R «info» <№>, оптический диск СD-R «Verbatim» белого цвета с маркировкой вокруг посадочного отверстия, читаемого как: «7152140МD23190», оптический диск СD-R «Verbatim», на ободе которого имеется печатный текст «<данные изъяты>» — хранить при деле; жесткий диск «Seagate» sn: <№>, жесткий диск «Plextor» sn: <№>, жесткий диск «WD» sn: <№>, жесткий диск «Toshiba» sn: <№>, Wi-Fi роутер «ZyХЕL» с.н. <№>, хранящиеся в камере вещественных доказательств ГУ МВД России по Воронежской области – уничтожить.

* Раздел блога Административная ответственность субъекта КИИ на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

**** YouTube — канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *